1.CVE-2017-12615
Tomcat put⽅法任意⽂件写⼊漏洞
漏洞描述
当 Tomcat运⾏在Windows操作系统时,且启⽤了HTTP PUT请求⽅法(例如,将 readonly初始化参数由默认值设置为false),攻击者将有可能可通过精⼼构造的攻击请求数据包向服务器上传包含任意代码的 JSP ⽂件,JSP⽂件中的恶意代码将能被服务器执⾏。导致服务器上的数据泄露或获取服务器权限。
漏洞原理
当在Tomcat的conf(配置⽬录下)/web.xml配置⽂件中添加readonly设置为false时,将导致该漏洞产⽣,(需要允许put请求) , 攻击者可以利⽤PUT⽅法通过精⼼构造的数据包向存在漏洞的服务器⾥⾯上传 jsp⼀句话⽂件,从⽽造成远程命令执⾏,getshell等。
环境搭建
cd vulhub-master/tomcat/CVE-2017-12615
docker-compose up -d
漏洞复现
1.⾸⻚抓包,修改为 PUT ⽅式提交
Tomcat允许适⽤put⽅法上传任意⽂件类型,但不允许jsp后缀⽂件上传,因此我们需要配合 windows的解析漏洞.
PUT /shell.jsp%20
PUT /shell.jsp::$DATA
PUT /shell.jsp/
http://8.138.19.182:8080/shell.jsp
默认的哥斯拉密码秘钥配置
2.Webshell客户端⼯具进⾏连接
漏洞修复
设置readonly 为 true
1.2 后台弱⼝令部署war包
漏洞原理
在tomcat8环境下默认进⼊后台的密码为 tomcat/tomcat ,未修改造成未授权即可进⼊后台,或者管理员把密码设置成弱⼝令。
环境搭建
cd vulhub-master/tomcat/tomcat8
docker-compose up -d
漏洞复现
http://1.15.136.212:8080/manager/html
默认密码:tomcat/tomcat
补充:
其他弱⼝令
admin:admin
ADMIN:ADMIN
admin:j5Brn9
admin:None
admin:tomcat
cxsdk:kdsxc
j2deployer:j2deployer
ovwebusr:OvW*busr1
QCC:QLogic66
role:changethis
role1:role1
role1:tomcat
root:root
tomcat:changethis
tomcat:s3cret
tomcat:tomcat
tomcat:manager
xampp:xampp
1.制作WAR包
制作WAR包,将JSP⽊⻢压缩为ZIP格式,然后修改后缀为war就可以了。
2. ⽂件上传成功后,默认会在⽹站根⽬录下⽣成和war包名称⼀致得⽬录,然后⽬录中得⽊⻢就是压缩前的⽂件名。
http://8.138.19.182:8080/1/111.jsp
漏洞修复
1.设置强⼝令:
conf/tomcat-users.xml
<user username="tomcat" password="tomcat" roles="manager- gui,manager•script,manager
jmx,manager-status,admin-gui,admin-script" />
2.删除manger⽂件
1.3 CVE-2020-1938
Tomcat⽂件包含漏洞
漏洞原理
由于Tomcat AJP协议设计上的缺陷,攻击者通过Tomcat AJP Connector 可以读取或包含Tomcat上所有
Webapp⽬录下的任意⽂件,例如:
可以读取webapp配置⽂件或源码⽂件。
此外如果⽬标应⽤有⽂件上传的功能情况下,配合为⽂件包含漏洞利⽤GetShell。
环境搭建
cd vulhub-master/tomcat/CVE-2020-1938
docker-compose up -d
漏洞复现
tomcat默认的conf/server.xml中配置了2个Connector,⼀个为 8080 的对外提供的HTTP协议端⼝,另外⼀个就是默认的 8009 AJP协议端⼝,两个端⼝默认均监听在外⽹ip。
漏洞修复
1.更新到最新版本
2.关闭AJP服务,修改Tomcat配置⽂件Service.xml,注释掉。
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
3.配置ajp配置中的secretRequired跟secret属性来限制认证。
扫一扫
1930
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
